Zusammenfassung der Tagung Prof. Dr. Lorenz Hilty Abteilung Technologie und Gesellschaft Empa, St.Gallen, Schweiz 1 Sokrates «Ich weiss, dass ich nichts weiss«2
Sokrates «Ich weiss, dass ich nichts weiss» Fritz Gutbrodt «Ich weiss nicht, was man über mich weiss» 3 Beat Rudin Die Grenzen von PvC sind nicht technischer, sondern ökonomischer, rechtlicher, psychologischer, ethischer Natur Wie kann Vertrauen gewonnen werden? 4
Vlad Coroama Die Kluft zwischen realer und virtueller Welt überbrücken Smarte...... Medizinschränke... Jasstische... Zahnbürsten... Umgebungen für Sehbehinderte 5 Vlad Coroama weitere medizinische Anwendungen Handy als Terminal für Zusatzinformationen über reale Objekte Lückenloses Gedächtnis der Dinge Produkte als Kunden smarter Fahrtenschreiber / «Pay per risk» 6
Generelle Trends der Digitalisierung Was privat war, wird öffentlich Was schwer zu kopieren war, ist heute schwer vor dem Kopieren zu schützen Was früher vergessen wurde, ist heute unauslöschlich festgehalten 7 Rudolf Schwarz Einkaufserlebnis der Zukunft: z.b. Pulkerfassung, Werbefilmsteuerung Produktinformationen nicht mehr auf der Verpackung, sondern über RFID verfügbar Prozesse in den Wertschöpfungsketten neu organisiert vielleicht bis zum intelligenten Abfalleimer? 8
Rudolf Schwarz RFID ist (noch) nicht sicher Migros setzt auf Datenschutz-Gütesiegel «Technologie lässt sich nicht aufhalten» Dialog mit allen Partnern 9 Johann Bizer Datenschutz...... durch Recht... durch Technik... als Wettbewerbsfaktor (Auditierung, Gütesiegel)... in die Prozesse (Datenflüsse, Geschäftsprozesse) Steuerungsoptionen des Betroffenen von der informativen zur kommunikativen Selbstbestimmung 10
Johann Bizer Große Herausforderungen (Krise) des Datenschutzes Konzepte noch angemessen? Hat das Recht auf informelle Selbstbestimmung überhaupt noch eine Chance? Den Nutzer stärken 11 Johann Bizer Ohnmacht des (heutigen) Datenschutzrechts gegenüber PvC? Nein, denn der Käufer/Betreiber des PvC- Systems ist die verantwortliche Stelle Die Mittel des Datenschutzrechts zur Zuordnung von Verantwortlichkeit sind ausreichend Das Problem liegt im Vollzug durch die Aufsichtsbehörden (Unabhängigkeit, Strategie) Ungelöste Sicherheitsprobleme des Internet 12
Wolfgang Ernst Technik-Invarianz des (privaten) Haftungsrechts, nicht auf spezielle Techniken zugeschnitten Traditionelle Haftung vs. Produktehaftung Zweifelsfragen des Haftungsrechts: Ist Nichtfunktion ein Fehler? Ist Fehler des Hintergrundsystems ein Fehler des Produkts? 13 Christoph Paar 98 % aller Mikroprozessoren sind eingebettet Alle Sicherheitsfragen der eingebetteten Systems sind auch Sicherheitsfragen für PvC In bestimmten Kontexten funktioniert klassische IT-Sicherheit sehr gut Es gibt immer raffiniertere Angriffe 14
Wichtigste Erkenntnisse I Chancen und Risiken an ökonomisch realistischen, konkreten Anwendungen beurteilen (Rudin, Coroama) Dialog aller Partner nötig (Schwarz) Transparenz der Datenflüsse ist zentrales Ziel des Datenschutzes (Bizer, Baeriswyl) Steuerbarkeit durch den Betroffenen ist für Akzeptanz entscheidend (Bizer) 17 Wichtigste Erkenntnisse II Zweifelsfrage im Haftungsrecht: Fehler im Hintergrundsystem ein Fehler? (Ernst) Schadenspotential bei eingebetteten Systemen ist schon heute sehr hoch (Paar) Klassischer Datensicherheit bewährt sich in begrenzten Kontexten (Paar) Aber die Prozess-Sicht in komplexeren Kontexten wird oft vernachlässigt (Eckert) 18
Wichtigste Erkenntnisse III Abhängigkeiten verschiedener Systeme durch Vernetzung können zu Schäden führen, die nicht gedeckt sind (Schraft) Das System hat mehr Fehler als die Summe seiner Teile (Wäfler,Coroama,Hilty) Freizeichnung ist nur eine kurzfristige Perspektive für einen Anbieter, langfristig wird die Nachfrage zurückgehen (Baeriswyl) 19 Was ist zu tun? I Auf konkreten Anwendungskontext achten, keine Patentrezepte Datenschützer und Anbieter: Autonomie der Betroffenen respektieren Datenschützer: Aktiv mitarbeiten, auch an Technikentwicklung und Prozessen Hersteller: Freizeichnung für Haftungsausschluss ist langfristig keine Perspektive 20
Was ist zu tun? II Gesetzgeber: Im Haftungsrecht Problem des Hintergrundsystems/Prozessperspektive im Auge behalten die Fehler stecken nicht (nur) in Einzelkomponenten Die Funktion des Gesamtsystems ist u. U. nirgends definiert (intendierte Wirkung) Wer? Wann? Den Nutzer über Risiken aufklären 21 Offene Fragen I Wird der Kunde König oder werden Produkte unloyal? (Produkt als Kunde, tuning kit...) Transparenz Würde das «Kundendatenkonto» genügen? Oder müssen auch die Interpretationsverfahren und -ergebnisse transparent sein? Möglich? Komplexitätsproblem bezüglich Transparenz und Steuerbarkeit durch den Betroffenen 22
Offene Fragen II Komplexitätsproblem für Beherrschbarkeit der Technik überhaupt Informations-Asymmetrie (z.b. Kunde-Anbieter) Lässt sie sich begrenzen? Gesellschaftliche Folgen von «pay per risk»? Datenschutz vs. Recht auf Privatsphäre «The Right to be left alone» 23 Offene Fragen III Wer hat die Verantwortung, den Konsumenten über Risiken aufzuklären? Hersteller? Bildungssystem?...? Wird es eine explizite Konzeption von PvC- Systemen geben (wie Bizer sie fordert)? 24
Offene Fragen IV Welche psychologischen Wirkungen haben Assistenzsysteme? Ist ein Paradigmenwechsel in IT- Entwicklung und IT-Sicherheit erforderlich? Wird das Gesamtrisiko (unter dem Strich) für die Gesellschaft höher oder geringer? 25 Skeptische Frage: Wird PvC überhaupt funktionieren? Schon heute in der IT viele Fehlfunktionen, Ausfälle und Anpassungszwänge Schon heute sind die Quellen von Daten schwer verifizierbar Warum sollte ich morgen den Daten aus selbstorganisierenden Netzen trauen? 26
Sind wir auf dem Weg von der Informationsgesellschaft zur Mutmassungsgesellschaft? 27 Eine Frage des Vertrauens in Technik unbegründetes Vertrauen: Gesellschaft scheitert an der Technik unbegründetes Misstrauen: Technik scheitert an der Gesellschaft begründetes Vertrauen kombiniert mit begründetem Misstrauen: sichere Zukunft 28